標的型攻撃メールの傾向と見分け方 ~ サイバーレスキュー隊 (J-CRAT) の活動を通して ~ 2016/ 05 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 情報セキュリティ技術ラボラトリー Copyright 2015 独立行政法人情報処理推進機構

標的型攻撃メールの傾向と見分け方

～サイバーレスキュー隊(Ｊ－ＣＲＡＴ)の活動を通して～

独立行政法人 情報処理推進機構（IPA）

技術本部 セキュリティセンター

情報セキュリティ技術ラボラトリー

2016/ 05

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

1.1 標的型サイバー攻撃に対する取り組み

「サイバーセキュリティと経済 研究会」(経産省) 2010/12～

での検討政策を受けて展開

Stuxnet

Op. Aurora RSA

重工

被害

発覚

Titan Rain

国内の政府機関への

標的型メールの観測

2003

_~

2005

_~

2009

2010

2011

2012

2013

「脅威と対策

研究会」

2014

●2010/12

METI 「ｻｲﾊﾞｰｾｷｭﾘﾃｨと経済研究会」

「標的型サイバー

攻撃特別相談窓口」

2011/8

設計Guide v1

2013/8

設計Guide v3

「情報共有

J-CSIP」

2011/10

2012/4

2010/12

サイバー

ﾚｽｷｭｰ隊

J-CRAT」

５業界の情報共有体制

標的型攻撃が深刻な脅威に

▼分析ﾚﾎﾟｰﾄ ▼分析ﾚﾎﾟｰﾄ

ﾚｽｷｭｰ試行

*1)http://www.ipa.go.jp/about/press/20130829.html *2)http://www.ipa.go.jp/about/technicalwatch/20140130.htm

＊１）

＊２）

＊３）

システム設計

早期対応

情報共有

▲分析ﾚﾎﾟｰﾄ

Lurid/Nitro

政府機関への攻撃

Luckycat APT1 APT12 Op.Hydra Op.DeputyDog APT17 CVE-2012-0158 PittyTiger

2014/9

設計Guide v4

やりとり型、取材・講 演依頼、医療費通知、 Xmas、謹賀新年・・・ 組織間メールを窃 取、ウイルス添付 Poison Ivy PlugX Emdivi

標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。（APT）

攻撃や被害の把握

、

対策の早期着手

のため、

情報収集と、組織の支援を行っています

。

1.2 サイバーレスキュー隊（J-CRAT）

～活動概要 Since 2014～

公的機関

業界団体、

社団・財団

重要産業

関連企業

重要産業

取引先

情報発信

情報提供

支援相談

Web検索

サイト巡回

標的型サイバー攻撃

特別相談窓口

公開情報の

分析・収集

公開情報

ケース１

ケース２

ケース３

サイバーレスキュー隊 (

J-CRAT

)

サイバーレスキュー活動

支援内容

解析

攻撃・被害

の可視化

情報収集

JPCERT/CC

情報提供

着手アプローチ

エスカレーション

エスカレーション

ケース1： 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談

ケース2： 受付した相談から、連鎖的な被害（の可能性のある）組織が推定された場合

攻撃・被害

の把握

助言

レスキュー支援

J-CSIP

独法連絡会

技術連携

1.2 J-CRAT活動実績

2014年度

2015年度

4月～9月

10月～3月

計

4月～9月

相談件数

41

66

107

246

レスキュー支援数

17

21

38

104

オンサイト

6

5

11

31

■相談件数、支援件数

（2014/4～2015/9）

1.2 J-CRAT活動実績

■メール種別割合

（2014/4～2015/3）

■Fromメールアドレス割合

（2014/4～2015/3）

添付

_(圧縮)

364件(60%)

添付

_(非圧縮)

168件(27%)

URLリンク

36件(6%)

添付・

_{URLリンクなし}

19件(3%)

不明

22件(4%)

N=609

フリーメール

157件(48%)

企業

112件(34%)

省庁

22件

(7%)

存在しない

12件(4%)

独立行政法人

9件(3%)

_5件(1%)

大学

その他

11件(3%)

N=328

1.2 J-CRAT活動実績

■ファイル圧縮形式割合

■不審ファイル種別

不審ファイル種別割合

（2014/4～2015/3）

zip

253件(69%)

rar

70件(19%)

lzh

26件(7%)

7z

13件(3%)

arj

2件(1%)

2件(1%)

gz

cab

1件(0%)

N=367

exe

228件(48%)

マイクロソフトオフィス

108件(23%)

scr

71件(15%)

pdf

28件(6%)

cpl, 13, 3%

jar, 6, 1%

jtd, 5, 1%

com, 4, 1%

_{lnk, 3, 1% pif, 3,}

1%

rtf, 3, 1%

その他

_{, 8,}

2%

N=480

1.3 標的型サイバー攻撃の連鎖

～標的型サイバー攻撃の連鎖（チェーン）の実態 ～

・ 標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。

組織内での、多層防御（入口、出口、内部、統括管理）だけでなく、

- 組織をまたがった攻撃に対しては、攻撃の連鎖(チェーン)を上流で断つことが重要となります。

- 攻撃連鎖の遮断は日本のシステムにおける多層防御の一つとなります。

国

官公庁

公的機関

業界団体

（社団、財団）

取引先企業／組織

攻撃者

①

攻撃者

③

④

凡例

① 直接攻撃

② ある組織から上流の組織への攻撃

③ ある組織から傘下の組織への攻撃

④ ある組織と関連する組織への攻撃

③

①

②

③

①

WeekPointと

して狙われる

攻撃連鎖の一例

～重要情報が無くても、攻撃インフラとして利用される～

攻撃者

③メールの窃取

②ID/Passの窃取

被害者

各自の組織メールではなく、古くから

使っているフリーメール、今使ってい

るフリーメールの情報も、攻撃者に

とっては有益な攻撃ツール素材。

①標的型攻撃メールで

ウイルスに感染

・業務メール

をついつい

個人メールへ転送

してしまう

・

業務上、

組織のネットワーク

から

外部のメール（出向・派遣元メール）

を見てしまう

・過去のメール、アドレス帳

に相手の

職務情報

が書かれている

など、

標的にされる情報は多数存在

します。

WeekPointと

して狙われた組織

④ウイルス付

詐称メール

画面表示

攻撃連鎖対応事例

～サイバーレスキュー隊活動で明らかになった事象～

組織D

攻撃者

①組織Bを騙った

攻撃を確認

②新たな攻撃先

(組織C)を確認

標的型攻撃メール分析

不審ファイル調査

通信ログ分析

共有情報作成

情報提供

情報提供・調査支援

情報提供・調査支援・対策支援

組織A

組織B

組織C

③組織Cから組織Dへ

攻撃メールが送られ

ていた事実が判明

・ 攻撃の連鎖(組織をまたがった攻撃)が行われている事を確認

・ その連鎖を追跡することで、他組織の被害を掘り出すことができた

攻撃

遠隔操作

画面表示

標的型サイバー攻撃の連鎖

～攻撃中継の実例 ～

・感染後長期潜伏され、攻撃素材が現れるのを待ち、巧妙な手口に活用される事例がありました。

①標的型攻撃メール

による感染

攻撃者

小規模組織

Bさん

Aさん

大規模組織

②Aさんになりす

ましたメール

③Bさんになりす

ましたメール

情報

窃取

情報

_窃取

攻撃間隔は

約半年

攻撃潜伏期

間が3年に及ぶものもあり

攻撃パターン

～代表的な攻撃方法～

標的型攻撃メールは、不審な添付ファイルやURLリンクを攻撃対象に送りつけ、それを

実行させるために差出人や文面を偽装（転用）したり、ファイルの見た目を加工したりし

ます。

攻撃者

①不審ファイル付き標的型攻撃メール

②不審 URLリンク付き 標的型攻撃メール

実行ファイル

・アイコン偽装

・拡張子偽装（RLO）

オフィス文章

・ウイルス埋め込み

・マクロ埋め込み

・ドメイン偽装

・表示と異なるリンク

・パスワード付圧縮ファイル

・そのまま添付

このまま、RAT（遠隔操作ウイルス）として動くものも、

次段として遠隔操作ウイルスを取りにいくものもある。

このほかに、次のような攻撃手法も使われます。

・特定のWeb閲覧者だけを狙う

水のみ場攻撃

画面表示

攻撃連鎖の一例

～一旦穴が開けば、遠隔から操作できてしまう～

攻撃者

被害者

③送付

標的型攻撃メールに添付された不審なファイル、不審なURLを開いた結果落ちてくる

ファイルを実行し

感染

してしまうと、

即座（数分～数十分）に攻撃者は活動

し始めます。

そして、少し間をおいて、より

深い活動

に移行するケースが多くあります。

①初段ウイルス作成

②メール作成準備

・宛先

・文面

④感染

⑤C2サーバ通信

（次段ウイルスを持ってくることもある）

⑥情報収集

・メールデータ

・PCログインID/Pass

・ファイルサーバデータ圧縮/窃取

・AD管理者権限

⑤横展開

⑥C2サーバ通信

（別のC2のこともある）

このタイミングで攻撃を阻止

できるよう、情報共有が必要

となってきます。

このタイミングで攻撃を予見できるよう、各

セキュリティベンダの発表情報や、既存の

C2サーバ観測、テスト用ウイルスの発見な

ど公開情報検索を評価実施しはじめました。

画面表示

システムA

システムB

アンチウイルス

管理サーバ

ADサーバ

ファイルサーバ

IT資産管理

海外WAN

国内WAN

インターネット

メール

_Web

クラウド

独自

インターネット

VPN

端末

海外現地

メール

Web

①最初の感染

②AD感染、認証情報漏洩

ファイルサーバデータ漏洩

攻撃ツール発見

④他端末感染（RAT）

⑤想定外のインター

ネット接続

⑥VPN経由での侵入

⑦WebShell経

由での侵入

⑧Webメール不

正利用

⑨国内IT部門が関

知しない海外シス

テムでの同様の被

害

⑩想定外のイン

ターネット接続

③攻撃ツール

発見

標的型サイバー攻撃の痕跡

～全体像 ～

デモンストレーション

～標的型攻撃メールの添付を開いたら～

標的型攻撃メールの傾向と事例分析＜2013年＞

～ますます巧妙化、高度化する国内組織への標的型攻撃メールの手口～

http://www.ipa.go.jp/security/technicalwatch/20140130.html

デモでは、レジストリを表示して確認

していますが、レジストリを誤って操

作する可能性がありますのでご注意く

ださい。

また、かならずこの確認方法でチェッ

クできるとは限りません。

詳細は、2013年のテクニカルウオッ

チをご覧ください。

独立行政法人 情報処理推進機構(IPA)

標的型サイバー攻撃特別相談窓口

https://www.ipa.go.jp/security/tokubetsu/

直近の攻撃全体関連図

メール送信

ホスト メールリレー

メール受信者

直近の攻撃全体関連図

A国

送信元

A

メール送信 ホスト メールリレー メール受信者 メール送信者(詐称含む) プロバイダA 受信組織A ホスト名A ①2015/12 ①2015/12 通信先A 通信先 @AAAA.jp ①

直近の攻撃全体関連図

A国

送信元

A

メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 受信組織A ホスト名B ホスト名A ①2015/12 ②2015/12 ①2015/12 ②2015/12 通信先A 通信先B 通信先 @AAAA.jp @BBBB.jp ① ② メール送信者(詐称含む)

直近の攻撃全体関連図

B国

送信元B

A国

送信元

A

メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 受信組織A ホスト名B ホスト名A ①2015/12 ②2015/12 ①2015/12 ②2015/12 ③2015/12 通信先A 通信先B 通信先C 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ① ② ③ メール送信者(詐称含む)

直近の攻撃全体関連図

B国

送信元B

A国

送信元

A

メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 受信組織A ホスト名B ホスト名A ①2015/12 ②2015/12 ④2015/12 ①2015/12 ②2015/12 ③2015/12 ④2015/12 受信組織群C 通信先A 通信先B 通信先C 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ① ② ③ ④ メール送信者(詐称含む)

直近の攻撃全体関連図

B国

送信元B

A国

送信元

A

メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 企業C 受信組織A ホスト名B ホスト名A ホスト名C @CCCC.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ①2015/12 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ① ② ③ ④ メール送信者(詐称含む)

直近の攻撃全体関連図

B国

送信元B

A国

送信元

A

メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 企業C 複数プロバイダ 受信組織A ホスト名B ホスト名A ホスト名C @CCCC.jp @DDDD.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ⑥2016/1 ①2015/12 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先E 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ⑥2016/1 ① ② ③ ④ ⑥ メール送信者(詐称含む)

⑦

直近の攻撃全体関連図

B国

送信元B

A国

送信元

A

メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 企業C 複数プロバイダ プロバイダD 受信組織A ホスト名B ホスト名A ホスト名C ホスト名D @CCCC.jp @DDDD.jp @EEEE.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ⑥2016/1 ⑦2016/1 ⑦2016/1 ①2015/12 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群D 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先E 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ⑥2016/1 ① ② ③ ④ ⑥ メール送信者(詐称含む)

直近の攻撃全体関連図

B国

送信元B

A国

送信元

A

メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 企業C 複数プロバイダ プロバイダD 受信組織A 受信組織F ホスト名B ホスト名A ホスト名C ホスト名D プロバイダE ホスト名E @CCCC.jp @DDDD.jp @EEEE.jp @FFFF.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ⑥2016/1 ⑦2016/1 ⑧2016/1 ⑦2016/1 ⑧b2016/1 ⑧c2016/1 ①2015/12 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群D 受信組織群E 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先E 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ⑥2016/1 ① ② ③ ④ ⑥ ⑧a ⑧b ⑧c ⑦ ⑧a2016/1 メール送信者(詐称含む)

直近の攻撃全体関連図

B国

送信元B

A国

送信元

A

メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 企業C 複数プロバイダ プロバイダD 受信組織A 受信組織F ホスト名B ホスト名A ホスト名C ホスト名D プロバイダE ホスト名E @CCCC.jp @DDDD.jp @EEEE.jp @FFFF.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ⑥2016/1 ⑦2016/1 ⑧2016/1 ⑦2016/1 ⑧b2016/1 ⑧c2016/1 ①2015/12 ⑧a2016/1 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群D 受信組織群E 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先E 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ⑥2016/1 ① ② ③ ④ ⑥ ⑧a ⑧b ⑧c ⑦ プロバイダF ホスト名F @GGGG.jp ,⑨2016/1 ⑨a2016/1 ⑨b2016/1 通信先F ⑨a ⑨b メール送信者(詐称含む)

直近の攻撃全体関連図

過去に

Emdiviの標的となった

アドレスや組織は

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

2.1 標的型攻撃メールの例と見分け方

～テクニカルウオッチ～

情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てて

いただいています。

2.2 標的型サイバー攻撃分析レポート

～その他のテクニカルウオッチ～

2.3 標的型攻撃メールの例と見分け方

主な初出の出来事

2005

初観測（実在の外務省職員を詐称、Word文書、複数の官公庁宛）

2006

新聞社を詐称、民間大手企業宛、一太郎文書、実行形式ファイル

2007

未修正の脆弱性を悪用（ゼロデイ）、PDF文書

2008

標的型攻撃メールに関する組織内注意喚起メールを加工

2009

新型インフルエンザ関連情報に偽装、添付ファイルのないメール

2010

［海外］Stuxnetによるイランの核施設攻撃

2011

東日本大震災・原発事故関連情報に偽装、やりとり型、Mac OS X

2012

［海外］水飲み場攻撃

2013

lnk（ショートカット）ファイル

2014

現在は、フリーメールアドレス利用・添付ファイル型が主流

2.3 標的型攻撃メールの例と見分け方

https://www.ipa.go.jp/security/technicalwatch/20150109.html

着眼点

これまで検知された標的型攻撃メールの特徴

（ア）

テーマ

①知らない人からのメールだが、開封せざるを得ない内容

例１： 新聞社・出版社からの取材申込・講演依頼

例２： 就職活動に関する問合せ・履歴書の送付

例３： 製品やサービスに対する問い合わせ・クレーム

例４： アンケート調査

例５： やり取り型メール

②誤って自分宛に送られたメールの様だが、興味をそそられる内容

例１： 議事録・演説原稿などの内部文書送付

例２： VIP訪問に関する情報

③これまで届いたことがない、公的機関からのお知らせ

例１： 情報セキュリティに関する注意喚起

例２： インフルエンザ流行情報

例３： 災害情報

2.4 標的型攻撃メールの例と見分け方

着眼点

これまで検知された標的型攻撃メールの特徴

（イ）

送信者

①フリーメールアドレスからの送信

②送信者のメールアドレスが署名（シグネチャ）と異なる

（ウ）

メール本文

①言い回しが不自然な日本語

②日本語では使用されない漢字（繁体字、簡体字）

③正式名称を一部に含むような不審URL

④HTMLメールで、表示と実際のURLが異なるリンク

⑤署名の記載内容がおかしい、該当部門が存在しない

2.5 標的型攻撃メールの例と見分け方

https://www.ipa.go.jp/security/technicalwatch/20150109.html

事務連絡cod.scr

事務連絡rcs.doc

RLO: Right-to-Left Override

アラビア語やヘブライ語などをパソコンで使

うための特殊な文字（表示はされない）

ここにRLO文字を挿入する

と、次のような見た目になる。

着眼点

これまで検知された標的型攻撃メールの特徴

（エ）

添付ファイル

①添付ファイルがある

②実行形式ファイル（exe / scr / jar / cpl など）

③ショートカットファイル（lnk / pif / url）

④実行形式ファイルなのに文書ファイルやフォルダのアイコン

⑤ファイル名が不審

例１： 二重拡張子

例２： ファイル拡張子の前に大量の空白文字を挿入

例３： 文字列を左右反転する

RLO

コードの利用

例４：

エクスプローラで圧縮ファイルの内容を表示すると

ファイル名が文字化け

実際の標的型攻撃メールの例

【ア－①】 【イ－①】 【エ－①】 【ウ－①】

2.6 標的型攻撃メールの例と見分け方

～取材依頼を装った標的型～

実際の標的型攻撃メールの例

～取材依頼を装った標的型～

2013年夏に多くみかけま

した。

ZIPファイルの中身はLNK

（ショートカット）ファイルで、

オフィス文章のアイコンで

偽装が目立ちました。

実際はリンク先を参照す

るのではなく、スクリプトが

書かれていて、実行すると

次段ウイルスをダウンロー

ドし自動実行します。

次段ウイルスはPlugXなど、

国内の標的型サイバー攻

撃で多用されるRAT（遠

隔操作ウイルス）が目立ち

ます。

画面表示

実際の標的型攻撃メールの例

～講演依頼を装った標的型～



特徴

○○様 と呼びかけが入る

講演の依頼を装っている

送付先に関係ありそうなテー

マ

2.7 標的型攻撃メールの例と見分け方

～就職を装った標的型～

【イ－①】 【ア－①】 【エ－①】 【イ－②】

実際の標的型攻撃メールの例

～就職を装った標的型～

熱い思い

を語っている

国内で、ある程度拡散し

た標的型攻撃メールで、

0day攻撃が使われた事

例でした。

→IPAより注意

喚起実施。

狙われた脆弱性

MS Office等

CVE-2013-3906

画面表示

2.8 標的型攻撃メールの例と見分け方

～製品・サービスに関する問合せを装った標的型～

【イ－①】

【ア－①】

2.9 標的型攻撃メールの例と見分け方

～情報セキュリティに関する注意喚起を装った標的型～

【ア－③】 【イ－①】 【ウ－③】、【ウ－④】 実際にクリックした際に表示 されるウェブページのURL

実際の標的型攻撃メールの例

～情報セキュリティに関する注意喚起を装った標的型～



特徴

実際にIPAから提供された注

意喚起文を引用している

フリーメールアドレスを利用

表示上のリンク先は問題なさ

そうに見えるが実際のリンク

先は危険なURL

表示されたリンク先と実際のリンク先が

異なる

(.xxが追加されている)

フリーメールアドレスから送られて

いる

一見、IPAからの注意喚起に見え

るが

実際は、、

2.10 標的型攻撃メールの例と見分け方

～心当たりのない決済・配送通知を装った標的型～

【ア－⑤】 【ウ－⑤】 【イ－①】 【エ－①】

実際の標的型攻撃メール

類似

例

～Invoice/Purchase Order～

想定目的

・ダウンローダー、zbot

→ Banking Trojan, FakeAVなど金銭を目的した攻撃

・送信先（ターゲット）のプロファイリング： 開封容易性、PC設定、キーロガー ＝ 高度な標的型攻撃と類似

類似の攻撃パターン

・SMS, MMS, VoiceMail, eFAX

・年賀状、クリスマスカード

2.11 標的型攻撃メールの例と見分け方

～IDやパスワードの入力を要求する標的型～

2.12 標的型攻撃メールの例と見分け方

～データエントリー型フィッシング～

【ア－⑥】

窃取されたメールアカ

ウントの認証情報は、

SPAMメールの踏み台や、

標的型攻撃メールの素

材収集に利用される恐

れも。

実際の標的型攻撃メール類似例

～ID/パスワード盗用を目的としたフィッシング～

想定目的

・フリーメールのアカウント窃取

・組織のWebメールアカウント窃取

想定被害

・受信メールの窃取（情報漏えい、他の標的型攻撃メール素材転用）

・標的型攻撃メールの送信

・連絡先の窃取

・gmail/yahooなどのアカウントをとられた場合は、スマートフォンや

アプリ連携、認証連携する他サービスでも被害が想定される

画面表示

実際の標的型攻撃メール類似例

～国内ベンダでの注意喚起実例～

http://www.transware.co.jp/phishing/index.html より引用

官公庁、一般企業、大学など多くの導入実績をもつ

製品のサイトで注意喚起されている事例

画面表示

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

3.1 添付ファイルの例

ファイルの詳細を必ず見る

アイコン上は文書ファイルの様に見えるが…

ショートカットであることを示す「矢印のマーク」

エクスプローラの詳細表示で見ると…

コマンドプロンプトで表示すると…

ショートカットであることがわかる

ショートカットの拡張子

3.2 添付ファイルの例

ファイルの詳細を必ず見る

エクスプローラで見ると…

実行ファイル（exe）であることがわかる。

また、アイコン偽装されていても、アイコンが表示さ

れないため騙されにくい。

3.3 添付ファイルの例

拡張子偽装に注意

実際のファイル名

実際のファイル名

「RLO」による拡

張子偽装

拡張子を表示し

ないと見えない

3.4 添付ファイルの例

•

実行ファイル（ウイルス）のアイコンは何にでも

偽装できる

•

単純な罠だがそれでも引っかかってしまう人が

いる

アイコン偽装に注意

アイコンや拡張子を信用しない！

（「ファイルの種別」を表示して確認する）

1. 標的型サイバー攻撃への取り組み

2. 標的型攻撃メールの見分け方

3. 添付ファイルの見分け方

4.1 標的型攻撃メールの対応

不審メールに気付いた時の対応

・ 組織内の情報集約窓口（情報システム担当部門など）に連絡

独立行政法人 情報処理推進機構(IPA)

標的型サイバー攻撃特別相談窓口

https://www.ipa.go.jp/security/tokubetsu/

・ 標的型攻撃メールかどうか判らない場合は、以下へ連絡を

4.2 標的型攻撃メールの対応

添付ファイルを開いたり、不審なURLにアクセスした場合の対応

・ 標的型攻撃メールの添付ファイル実行、不審ＵＲＬアクセス

→ パソコンがウィルスに感染した可能性

・ どうしてよいか判らない場合は、とりあえずＩＰＡに相談を

・ 緒論あるが、ネットワークからの切り離し（被害拡大の防止）

・ 不審メールを受信したパソコンの初期化は一考を

→ 初期化すると感染機器や流出情報の特定が困難に

① 証拠保全と業務復旧の両面から対応の決定を

② フォレンジック専門のセキュリティベンダーに相談を

1. インターネット接続制御/ WEB通信制御 （

ファイアウォール

、IDS/IPS、

Webプロキシ

、クライアント側制御、UTM/NGFW ）

A) IPアドレスでの遮断

ができること（グループ設定で制御できると望ましい）

B) 遮断ログ取得

ができること（３年、

１年

、半年、

３ヶ月

、１ヶ月、２週間、）

C) 許可通信ログ取得

ができること

D) FQDN（ホスト名）で通信先制御

ができること

E) URLフィルタ機能

があること（カテゴリ指定以外に

ユーザ設定

ができるこ

と）

F) 標的型攻撃の知見を基にした

不正通信監視

を行うこと（MSS/SOC

サービス）

G) 接続時に認証できること（Webプロキシ）

4.2 標的型攻撃メールの対応

システムにおける標的型攻撃対策への助言①

【機能改善策】

画面表示

2.

通信制御と不審挙動把握

A) DNSリクエストを監視、制御（シンクホール化）する

B) 通信制御機器のDNSリクエストと端末用DNSリクエストを分離（外部通報

時）

C) 端末管理台数が多い場合はIT資産管理ツールを併用する

D) クライアント操作ログの取得（

ファイル操作

、APIコール）

E) 低いレイヤでの制御（

セグメント分離

、最小限のルーティング設定、脱IPv4）

3. 運用機能（機能有無、対応者確認、作業日数）

A) メールログの検索

（差出人、件名、本文、添付ファイル名）

B) 通信ログの検索（あて先IPアドレス、あて先FQDN、URLパス）

C) 回線ログの確認（キャリア・プロバイダ提供のトラフィック表示、ネットワーク

監視）

D) アンチウイルスログ（管理サーバ、端末側、サーバ側）の確認

E) Webサーバコンテンツたな卸し（改ざん、追加有無）

【機能改善策】

4.2 標的型攻撃メールの対応

システムにおける標的型攻撃対策への助言②

_画面表示

【システム利用者向けの運用改善策】

1. ブラウザの使い分け

例）業務用にInternet Exproler、インターネット用に

Chrome/FireFoxを利用

2. メーラー（メールソフト）のカスタマイズ

① 差出人（From）表示を 「表示名＋メールアドレス」 にする

② 誤クリックを避けるためにメーラーソフトのProxy設定を架空の

IPへ向ける

③ 利用者が気づきやすいように、差出人がフリーメールの場合は

件名スタンプをつける

④ 特定添付ファイル（exe、zip+exe、LZH）はサーバで削除してし

まう

⑤ Fromヘッダーを詐称しているメールを落してしまう

3. 不要なアプリの削除

例）JAVA、FlashPlayer

4.2 標的型攻撃メールの対応

システムにおける標的型攻撃対策への助言③

_画面表示

【システム利用者向けの運用改善策】

4. 標的型攻撃メールの訓練

開封率低減よりも開封者報告率100%

気づいた人の報連相率向上を重視

5. ウイルス警告画面など利用者環境での実体験と対処スキーム確立

EICAR をイントラサイトに置き、クリックさせてみる

パスワード付ZIPファイルでメール送信してみる

6. 定期的な感染痕跡部位の確認

① %TEMP%や%AppData%フォルダ、アプリ・ユーザのテンポラリ

フォルダたな卸し

※最近では %LOCALAPPDATA% を使う事例も

②HKLM_RUN、HKCU_RUN、スタートアップフォルダ、サービス

の定期的差異確認

7. 情報共有活用

スキームと、

不審メールの情報提供

4.2 標的型攻撃メールの対応

システムにおける標的型攻撃対策への助言④

_画面表示

4.3 標的型攻撃メールの対応

情報共有へのお願い （ Information Sharing ）

・ 標的型サイバー攻撃情報は局所的である

・ 操作がよくわからない場合は、ＩＰＡに相談を

・ 被害の抑止や拡大防止は、局所的な情報を共有し活用するこ

とが最善の策である。

・ 情報提供いただきたいもの

① まずは転送メール形式

② メールヘッダ情報

・eml形式、msg形式、「ヘッダを表示」で出るテキスト

③ 同件有無の確認

・メールサーバログの確認（From, Received, Date）

情報提供にご協力ください！！

今回のために専用のメールアドレスを

作成しました！

?

標的型攻撃メールかな？ と思ったら・・・

IPA

へご相談ください！

http://www.ipa.go.jp/security/tokubetsu/

4.4情報提供が標的型サイバー攻撃対策

～サイバー空間利用者みんなの力をあわせて対抗力を～

標的型サイバー攻撃特別相談窓口

電話 03-5978-7599 (対応は、平日の10:00～12:00 および13:30～17:00) E-mail expo2016@tks.ipa.go.jp ※このメールアドレスに特定電子メールを送信しないでください。

・不審な日本語

・差出人とメールアドレスが不審

・不審な添付ファイルやリンク

各所属での連絡に加えて